Il nome del nuovo ransomware è “Win32/Filecoder.Nfr”, e si sta diffondendo proprio in questi giorni. La minaccia informatica si presenta con le apparenze del file necessario per l’installazione di Google Chrome, ma una volta scaricato diventa un “ransomware as a service”, una porta di accesso al sistema per gli hacker, che possono a quel punto decidere quali applicazioni attaccare, quanto chiedere di riscatto per il ripristino del sistema, e che messaggio far apparire sul monitor per la richiesta di bitcoin.
A rilevare il bug sono stati i ricercatori di Eset. Il ransomware è collegato a un server nascosto nella rete Tor (acronimo di The Onion Router, necessario per navigare nel Deep Web).
Secondo i dati di Live Grid, la tecnologia Cloud di Eset che identifica le minacce informatiche globali per numero di rilevazioni, i ransomware della famiglia Filecoder rappresentano una seria minaccia per gli internauti italiani, che nella prima settimana di gennaio sono stati i più colpiti a livello mondiale, con un picco di infezioni registrate del 6,35%.
Una volta che Win32/Filecoder.Nfr si installa sul sistema e viene eseguito, decomprime tutti i suoi file pericolosi nella cartella dei file temporanei e si configura per essere eseguito a ogni avvio del sistema. Il file dannoso, chrome.exe, si presenta proprio come il file originale del popolare browser web Chrome. Tuttavia, analizzando le sue proprietà emerge che non è firmato digitalmente, e che le informazioni sulla versione e sul nome del prodotto sono state cancellate.
Per diffondersi questa nuova minaccia sfrutta i “classici” metodi utilizzati dagli hacker per infettare le macchine delle vittime, come siti web pericolosi, attacchi Drive-by-download, allegati alle e-mail altri Trojan-Downloader o di backdoor. I file vengono criptati usando una codifica Aes con chiave a 128 bit, generando una nuova chiave per ogni documento codificato.
